Obecné

Obecné

Obecným nařízením se bude řídit subjekt, který provádí zpracování osobních údajů. Takový subjekt je nazýván správcem osobních údajů. Obecným nařízením se řídí i zpracovatel, což je subjekt, který pro správce osobní údaje zpracovává (např. pro vaši firmu to může být externí účetní společnost).
Pokud jde o práva vyplývající z Obecného nařízení, tak ty směřují na fyzické osoby, především jejich přístupu k informacím a ochraně těchto údajů.
Obecným nařízením se budou řídit i dozorové úřady, tj. i Úřad pro ochranu osobních údajů, který bude uplatňovat svěřené pravomoci za účelem plnění stanovených úkolů.
Z působnosti Obecného nařízení jsou vyloučeny činnosti fyzické osoby, při kterých jsou zpracovávány osobní údaje výlučně pro osobní či domácí činnost.

  • subjekt údajů udělil souhlas pro jeden či více konkrétních účelů,
  • splnění smlouvy se subjektem údajů
  • právní povinnost, která se na správce vztahuje,
  • ochrana životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
  • úkol prováděný ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.

Právní důvody jsou nezbytným předpokladem, aby vůbec mohlo být hovořeno ze strany správce o legálním zpracování. Pokud osobní údaje zpracujete nezákonně, musíte je obratem zlikvidovat.

Údaje můžete zpracovávat pro různé účely, přičemž pro každý účel potřebuje právní důvod zpracování osobních údajů. Povinnost likvidace osobních údajů nastane v případě, kdy správce pozbude poslední právní důvod ke zpracování osobních údajů.

Nejčastěji se budete řídit udělením souhlasu subjektu, plněním smlouvy a právní povinností.

Souhlas musí být dobrovolný a musí být uveden konkrétní účel, ke kterému se budou údaje zpracovávat. Nelze jej přidružit k jiným částem textu (např. obchodním podmínkám), tzn. musí být odsouhlasen samostatně. Jde o dobrovolný projev vůle a nelze ho tedy podmiňovat jinými kroky (např. kupní smlouvou). Subjekt má právo svůj souhlas kdykoli odvolat, tím ale nemusí zaniknout zákonnost zpracování, pokud existuje další právní důvod.

Příklad: v případě e-shopu oddělte souhlas se zpracováním od obchodních podmínek. Uzavření smlouvy nesmíte podmiňovat souhlasem ke zpracování.

Pokud zákazník objedná bez udělení souhlasu, můžete jeho údaje zpracovat pro účely plnění smlouvy (doručení objednávky) či plnění zákonem stanovené povinnosti (vystavení dokladu). Nelze jej však dlouhodobě uchovávat a používat např. k marketingovým účelům.

Přenesení souhlasu je možné, avšak musí být v souladu s podmínkami GDPR. Je třeba dbát na podmínku účelnosti souhlasu (tzn. souhlas musí být jednoznačně oddělen od obchodních podmínek a musí být definován účel, pro který data sbíráme). Nesmí být podmínkou pro s poskytnutí jiné služby.

Zveřejněné osobní údaje nelze dále neomezeně přebírat a zpracovávat (např. jejich dalším zveřejňováním). Tato data u vás pravděpodobně projdou zpracováním, ke kterému je třeba mít právní důvod (souhlas, smluvní vztah apod.).

Některé osobní údaje jsou takového charakteru, že mohou osoby samy o sobě poškodit (např. ve společnosti, zaměstnání, škole) či mohou zapříčinit jejich diskriminaci. Z tohoto důvodu je vymezena skupina údajů, které jsou považovány za citlivé a jimž je poskytnuta ještě zvýšená ochrana při jejich zpracování.

Jsou to takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu, sexuálním životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby.

Velmi často bude zmocnění pro zpracování zvláštní kategorie osobních údajů obsaženo v příslušném právním předpise, kterým se správce musí řídit, či bude vyplývat z oprávněné činnosti správce (např. registr dárců krve).

Zpracováním je chápána jakákoli operace s osobními údaji, jako je shromáždění, zaznamenání, uspořádání, třídění, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, výmaz nebo zničení.

Nezapomínejte na to, že data nejsou zpracovávána pouze digitálně (excelové tabulky či jiné databáze). Může to být i prostá papírová kartotéka či šanon.

Příklady zpracování dat

  • tvoříte si databázi zákazníků, zakázek pro ně realizovaných, jejich kontaktních údajů, frekvenci nákupů a výši tržeb
  • evidujete pracovní smlouvy, kde jsou uvedeny osobní údaje zaměstnance, výše jejich mzdy, zasíláte si písemně nebo digitálně výplatní pásky

Osobním údajem je každá informace o fyzické osobě, na základě které ji lze jednoznačně identifikovat (např. jméno, rodné číslo, síťový identifikátor), může to být i více prvků, které lze zkombinovat (např. fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této osoby).

Subjektem údajů je každá fyzická osoba (každý člověk). Údaje vztahující se k právnické osobě nebo zemřelým fyzickým osobám nejsou osobními údaji.

Profilování je forma automatizovaného zpracování osobních údajů sloužících k odhadu či vyvození některých osobních charakteristik člověka na základě známých dat (např. odhadnutí pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu).

Správcem je každá právnická či fyzická osoba, která stanovuje účely a vybírá prostředky zpracování osobních údajů. Správce za zpracování primárně odpovídá. Kompetence správce jsou omezené a jasně definované (např. zákonem stanovené povinnosti, ze smluv), ale může je zpracovávat i pro vlastní určené účely např. pro své oprávněné zájmy.

Zpracovatelem je každá fyzická nebo právnická osoba, kterou si správce najímá, aby pro něj spravovala data. Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen.

Zpracovatel je zpracovatelem pouze ve vztahu k osobním údajům poskytnutým správcem. Typicky zpracovatelé jsou účetní firmy, reklamní nebo personální agentury.

Osobních údaje, které zpracováváte na základě oprávněného zájmu (např. osobní údaje vlastních zaměstnanců) z Vás dělají správce a za jejich ochranu a zpracování tím pádem odpovídáte.

Myšlenka GDPR je v primárně chránit osobní údaje každého člověka. Ten je často ve slabším postavení než správce, a proto mu GDPR poskytuje poměrně rozsáhlé kompetence v nakládání se svými osobními údaji.

Subjekt údajů má právo být informován o zpracování svých osobních údajů. Jde zejména o informace o účelu zpracování, totožnosti správce, o jeho oprávněných zájmech, o příjemcích osobních údajů. V tomto případě jde o pasivní právo, jelikož iniciativu musí vůči subjektu údajů vyvinout správce. Úplný výčet informací, které správce poskytuje při shromažďování osobních údajů, lze nalézt v článcích 13 a 14 Obecného nařízení. Obecné nařízení formálně rozlišuje poskytování informací v případě, že osobní údaje jsou získány od subjektu údajů a kdy nejsou poskytnuty přímo.

Mezi další práva subjektu údajů, která jsou mnohdy založena na aktivitě subjektu údajů, patří právo na přístup k osobním údajům, právo na opravu resp. doplnění, právo na výmaz, právo na omezení zpracování, právo na přenositelnost údajů, právo vznést námitku a právo nebýt předmětem automatizovaného individuálního rozhodování (včetně profilování).

Přístupem k osobním údajům se rozumí právo každého člověka být informován, zda jsou či nejsou jeho osobní údaje zpracovávány a pokud jsou zpracovávány, má subjekt údajů právo tyto osobní údaje získat a zároveň je nutné mu poskytnout následující informace:

  • účely zpracování,
  • kategorie dotčených osobních údajů,
  • příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny,
  • plánovaná doba, po kterou budou osobní údaje uloženy,
  • existence práva požadovat od správce opravu nebo výmaz osobních údajů, právo vznést námitku,
  • právo podat stížnost u dozorového úřadu,
  • veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,
  • skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.

Pokud správce o fyzické osobě žádné údaje nezpracovává, poskytuje se informace, že osobní údaje tazatele nejsou předmětem zpracování osobních údajů ze strany správce.

Jde o ekvivalent práva přístupu k osobním údajům, stanoveném v § 12 současného zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.

Každý člověk má právo na opravu nepřesných osobních údajů, které se ho týkají. Neznamená to povinnost správce aktivně vyhledávat nepřesné údaje (avšak nic mu v tom ani nebrání), ani to neznamená povinnost správce žádat o aktualizaci jeho údajů. Pokud se subjekt údajů domnívá, že správce zpracovává jeho nepřesné údaje, upozorní jej na to. Správce se na žádost subjektu údajů musí změnou dat zabývat.

Právo na výmaz (být zapomenut) jinými slovy představuje povinnost správce zlikvidovat osobní údaje, pokud je splněna alespoň jedna z následujících podmínek:

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,
  • subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování,
  • subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
  • osobní údaje byly zpracovány protiprávně,
  • osobní údaje musí být vymazány ke splnění právní povinnosti,
  • osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle článku 8 odst. 1 Obecného nařízení.

Většina vyjmenovaných případů je součástí i současného zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, nebo vyplývají z jeho podstaty.

Právo na přenositelnost je zcela nové právo subjektu údajů, jehož podstatou je možnost za určitých podmínek získat své osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu Subjekt údajů má právo předat tyto informace jinému správci, aniž by tomu původní správce bránil. Zároveň má na vlastní žádost i právo na to, aby správce předal jeho osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu jinému správce, je-li to technicky proveditelné.

Výkonem práva na přenositelnost nesmí být nepříznivě dotčena práva a svobody jiných osob.

Zásadně platí, že informace podle článků 13 a 14 a veškerá sdělení a úkony podle článku 15 až 22 a 34 Obecného nařízení se poskytují a činí bezplatně. Pouze v případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď uložit přiměřený poplatek, nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost dokládá správce.

Správce odpovídá za dodržování zásad zpracování v souladu s Obecným nařízením, na vyžádání je povinen tuto skutečnost prokázat. Základním nezbytným předpokladem je existence právního důvodu zpracování osobních údajů. Zároveň je nutné osobní údaje dostatečně zabezpečit.

Správce může zpracováním osobních údajů pověřit i jiný subjekt. Správce by měl využít pouze takového zpracovatele, který s ohledem na povahu, kontext, kategorii osobních údajů a jejich možností, poskytuje dostatečné záruky vhodných technických a organizačních opatření, tak aby zpracování osobních údajů neporušilo požadavky Obecného nařízení a byla zajištěna ochrana práv subjektu údajů. Za tím účelem musí být mezi správcem a zpracovatelem uzavřena písemná smlouva, v níž je stanoven předmět, doba trvání, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Smlouva dále musí zaručovat určité okolnosti zpracování, viz článek 28 odst. 3 Obecného nařízení.

Není nutné, aby se jednalo o samostatnou smlouvu, lze požadované náležitosti zakomponovat i do jiné smlouvy, kterou správce se zpracovatelem uzavírá v rámci např. obchodního či jiného vztahu.

Správce se přizváním zpracovatele nezbavuje odpovědnosti za zpracování osobních údajů.

Správce musí přijmout s ohledem na povahu, rozsah a účely zpracování technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s Obecným nařízením. Každý správce tak bude muset přijmout adekvátní bezpečnostní opatření a u každého správce takové opatření může být, právě s ohledem na povahu, rozsah a účely zpracování, odlišné.

Jedním z prvků zabezpečení osobních údajů je např. jejich pseudonymizace nebo šifrování. Tyto prvky nejsou povinné, mohou však správci přinést i zproštění např. povinnosti ohlásit případ porušení zabezpečení osobních údajů subjektu údajů.

Za porušení zabezpečení osobních údajů se považuje porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Pokud dojde k porušení zabezpečení osobních údajů, měl by správce zvážit, zdali nejde o okolnost, kterou je nutné ohlásit dozorovému úřadu, resp. oznámit subjektu údajů. Tyto povinnosti nastanou tehdy, pokud porušení zabezpečení představuje riziko, resp. vysoké riziko pro práva a svobody fyzických osob.

V souvislosti s Obecným nařízením je často skloňována výše pokut, kterou lze za porušení udělit. Výše pokut je rozdělena do dvou skupin dle porušení, jakého se správce dopustil. Pokutu lze udělit buď do výše 10 000 000 EUR (nebo až do 2% celkového ročního celosvětového obratu, jde-li o podnik) nebo při porušení určitých ustanovení až do výše 20 000 000 EUR (nebo až do 4% celkového ročního celosvětového obratu, jde-li o podnik). Rozdělení do dvou skupin odráží důležitost porušených povinností, kdy ve skupině s vyšší sazbou jsou povinnosti, u jejichž porušení je očekávána vyšší intenzita zásahu do práva na ochranu osobních údajů, které Obecné nařízení zajišťuje. Do nižší sazby spadá např. porušení ustanovení týkajících se záznamů o činnostech zpracování či posouzení vlivu na ochranu osobních údajů, zatímco do vyšší sazby jsou například zahrnuta porušení povinností upravujících zásady a zákonnost zpracování, podmínky souhlasu se zpracováním osobních údajů, podmínky zpracování zvláštních kategorií osobních údajů a práva subjektu údajů.

Oznamovací povinnost již není obsažena v Obecném nařízení a bude tedy s novelou zákona o ochraně osobních údajů zrušena v plném rozsahu. Oznamovací povinnost je částečně nahrazena záznamy o činnostech zpracování a povinností v některých případech zpracování konzultovat s Úřadem pro ochranu osobních údajů.

 

V současné situaci nedoporučujeme se kontrole nahlašovat. ÚOOÚ by se pravděpodobně kontrolou začal zabývat až po nastoupení GDPR, a vzhledem k tomu, že není zatím jasné, jak přísná budou kritéria, je to zbytečný risk.

V ČR neexistuje žádný oficiální certifikát, úroveň zabezpečení závisí na mnoha faktorech a u každého subjektu je velmi individuální. Nikdy nelze říct, že údaje jsou naprosto v bezpečí, vždy je potřeba, co nejlépe vyvážit míru rizika a investice.

V bezpečnosti nemusí být rozdíl mezi prací z domova (nebo odkudkoli jinde) a prací v kanceláři. Záleží, jak jsou přenášená data šifrovaná, nastaveny firemní servery (firewall) či podniková síť. Důležitým prvkem je dvoufázové ověření pro přihlášení a šifrování disku přenosného zařízení (počítač i telefon) pro případ odcizení. U mobilních telefonů je však třeba zařídit vzdálený přístup k telefonu a v případě potřeby/odcizení mít možnost data kdykoli smazat. Nemělo by se však zasáhnout do osobních dat zaměstnance.

Vlastní zařízení mohou zaměstnanci dále používat. Měla by ale dodržovat stejnou firemní bezpečností politiku (šifrování disku, dvoufázové ověření). Po ukončení pracovně - právního vztahu pak musí zaměstnanec ze svých zařízení smazat veškerá firemní data a především ta citlivého charakteru. Vynucení této akce je však poměrně komplikované.

Pokud je zveřejňujeme fotografie svých zaměstnanců, je vždy třeba explicitní souhlas aktéra. Myslete ale na to, že tento souhlas může být odvolatelný. Je možné pořídit fotografii aktérů zády, rozmazat tváře nebo nechat souhlas podepsat např. v rámci prezenční listiny. Libovolně je možné fotografie pořizovat pouze s novinářskou licencí.

Pravidla GDPR jasně neuvádějí, kolik osob může data zpracovávat Je však nutné, aby dané osoby měly oprávněný zájem s daty manipulovat. Je třeba si tento zájem obhájit před případnou kontrolou.

Vždy záleží na velikosti firmy a důležitosti dat. Základem však mohou být zamykací skřínky případně alarmy. Data s osobními údaji nesmí být k dispozici třetím osobám (např. nástěnky, volně ložené dokumenty). Pozor i na tisk ve sdílené tiskárně.

Téma promlčecích lhůt není legislativně v nařízení řešeno. Vycházet se tedy bude z českého práva archivace. Je možné, že lhůty budou ještě upraveny. Např. data ze smluvních závazků lze uchovávat do 5 let, faktury 10 let, údaje o zaměstnancích až 50 let. Vždy však záleží, o jaký konkrétní údaj se jedná, a zda existuje právní důvod uchovávání.

Proškoleni musí být všichni zaměstnanci, kteří nějakým způsobem s osobními daty manipulují.